実践!デジタル・フォレンジック初級コース 事象・アーティファクト基礎編

Windows環境においてマルウェア感染・侵入などが発生した際、メモリ・ディスク(ファイルシステム)ではどの様な痕跡が発生するのか、実際にWindows 7環境上で事象を発生させ、調査が必要となるポイント・痕跡(アーティファクト)を演習形式で学びます。

こんな方にオススメです
CSIRT要員(技術系)

受講の効果

  • Windowsパソコンのマルウェア感染について事象発生の流れを理解できるようになる
  • マルウェア感染に関連して発生する代表的な痕跡(アーティファクト)について、その仕組みを理解できるようになる
  • 様々なファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用したデータ復元の方法について理解できるようになる

前提知識

  • Windowsの基本的なセキュリティ知識とコマンドラインを利用した操作
  • Linuxの基本的な知識とコマンドラインを利用した操作
  • ネットワークの基本的な知識と、Wiresharkの基本的な操作
  • マルウェアの基本的な動作に関する知識
  • 仮想環境(VMware)の操作
コース参考資料(受講予定・受講者向け)
No 資料名 更新日
1

別紙 マインドマップ 1.マルウェアを探す(案)

2016/9/6

2

別紙 マインドマップ 2.感染経路(案)

2016/9/6

3

別紙 マインドマップ 3.影響範囲(案)

2016/9/6

4

別紙 マインドマップ 4.レジストリ(案)

2016/11/16

5

別紙 マインドマップ 5.ドライブマウント(案)

2016/11/16

6

別紙 マインドマップ 6.プリフェッチファイル(案)

2016/9/6

7

別紙 マインドマップ 7.LNKファイル(案)

2016/9/6

8

Windowsコマンドライン基本手順

2016/6/22

コース内容

1日目

脆弱性の利用と痕跡(前編) アプリケーション、Webブラウザ、OSの脆弱性が利用され、マルウェアへ感染する状況について、Kali LinuxとMetasploitを利用した事象の発生、メモリ・ディスク(ファイルシステム)内での痕跡有無について演習形式で学びます。
  • 脆弱性を利用した不正プログラムの実行
  • 稼働中システムにおける状況確認
  • ネットワーク上を流れるパケットの確認
  • Webブラウザ履歴の確認
  • ファイルシステムの確認
脆弱性の利用と痕跡(後編) 事象発生時点でのメモリイメージを取得し、Volatility Frameworkを利用したメモリイメージの解析を行います。メモリイメージから得られる情報について、演習形式で学びます。
リモート操作と痕跡 バックドアプログラムを通じ、リモートから被害機器を操作(ファイルアクセス・プログラム実行等)し、メモリ・ディスク(ファイルシステム)内の痕跡有無について演習形式で学びます。
  • バックドアプログラムの通信(HTTP、HTTPS)
  • ネットワーク上を流れるパケットの確認
  • ファイルシステムの確認
  • イベントログの確認
実行痕跡の確認 バックドアプログラムの実行、その後の操作に関連して発生するプログラムの実行痕跡について解析を行います。代表的なアーティファクトである、プリフェッチファイル、レジストリ内の実行痕跡について演習形式で学びます。
  • 実行痕跡(プリフェッチファイル)
  • 実行痕跡(レジストリ内のキーと値)

2日目

認証情報の取得・不正利用 Windowsが利用している認証情報をメモリ、SAM、Windows資格情報コンテナー等から取得し、アカウントを不正利用するケースについてその手法や痕跡について演習形式で学びます。
  • アカウント(認証情報)の取得
  • アカウント情報の不正利用
  • Pth(Pass the Hash)を利用したプログラム実行
イベントログの確認 イベントログ(セキュリティログ)の内容から、アカウント情報の不正利用、横展開(Lateral Movement)の痕跡について確認する手順についてを演習形式で学びます。
ファイル種類の識別 ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法、カービングによるファイル復元の方法について学びます。
  • ファイルのシグネチャ確認
  • カービングによる削除ファイルの復元
削除ファイルの復元 演習用のディスクイメージから、指定された画像データ(複数の断片データ)を復元する演習を通じて、ファイルの復元方法について学びます。

コース内容は予告なく変更することがございます。あらかじめご了承ください。

受講者の声

<セキュリティ運用部門の方>
証拠保全の基礎を学ぶのに、非常にためになった。

<ネットワーク運用部門の方>
ツールの使い方、原因の特定方法を学ぶことができ、今後の業務に役立つ研修だった。

担当講師

コースリーダー/講師

伊原 秀明

サイバー救急センター

伊原 秀明

講師

永安 佑希允

サイバー救急センター

永安 佑希允

他、業務現場のシニアメンバー

開催内容

開催日程

・2016年6月16日(木)~ 17日(金) 9:30~18:00 (締切日:6月8日(水)) ※受付終了しました。
・2016年9月13日(火)~ 14日(水) 9:30~18:00 (締切日:9月5日(月)) ※受付終了しました。
・2016年11月8日(火)~ 9日(水) 9:30~18:00 (締切日:10月31日(月)) ※受付終了しました。
・2017年1月26日(木)~ 27日(金) 9:30~18:00 (締切日:1月18日(水))
・2017年3月7日(火)~ 8日(水) 9:30~18:00 (締切日:2月27日(月))

受講料

300,000円(税抜)/人

お支払方法

前入金によるお支払か、後払いによるお支払(企業様のみ)のいずれかをご選択ください。

研修期間

2日間

定員

20名 最少開催人数5名

会場

(2017年1月~3月)
TKPガーデンシティ永田町
東京都千代田区平河町2-13-12
(最寄り駅地下鉄 永田町駅4番出口から徒歩4分)

アクセス

(~2016年12月)
株式会社ラック セミナールーム
東京都千代田区平河町2-16-1 平河町森タワー
(最寄り駅地下鉄 永田町駅4番出口から徒歩1分)

アクセス

お問い合わせ

株式会社ラック セキュリティアカデミー事務局

info-academy@lac.co.jp

お申込方法

氏名、会社名、電話番号、メールアドレスをお申込フォームにご入力ください。 なお、本セミナーのお申込フォームは、トライコーン株式会社が提供するWEBマーケティング用顧客管理システム『クライゼル』を利用しております。お申し込みの手続き画面は一時的に『クライゼル』のページに移動します。予めご承知おきください。

戻る

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ